自动化系统雷达信号引接方式探究

2020-05-27包励

通信电源技术 2020年6期

包励

（华东空管局，上海 200335）

0 概述

在航空事业发展中，空管系统也得到了发展和完善，其可靠性和自动化程度也在逐步提高。但是，由于航空事务的复杂化发展趋势，以及人员流动和航空班次的日益增多，导致飞行流量也在逐渐增多，给空中交通管制任务带来了极大的挑战。同时，这也给空中交通管制自动化系统应用提出了更高的要求，自动化系统雷达信号有效接引也成为其中备受关注的重要一环。因为自动化系统运行中，一旦发生单点故障，将导致整个控制系统异常，影响空中交管的安全运行。雷达数据接引是空中自动化系统的前端处理过程，是原始数据获取和处理的主要途径，为整个系统的正常运行提供基本的数据支持。基于此，本文将结合雷达信号传输方式研究，进行常用雷达数据引接技术探究，并研究了雷达信号引接防火墙的构建和网络安全设计[1]。

1 雷达信号的传输方式

随着雷达相关技术研究的深入，技术应用不断完善。目前，主要采用地面线路和卫星线路两种传输方式，其中地面线路是最为常用的。常用的地面雷达信号传输方式主要有DDN、帧中继、ATM 以及SDH 等，但是由于采用方式的不同，其在优缺点上也有所差异。其中，DDN 不具备交换功能，因此在点对点和点对多点的信息传输过程中应用广泛；而帧中继的交换技术是分组交换技术，所以在应用过程中需要借助光纤网络，由此具有较高的传输速率。DDN 和帧中继传输方式是传统雷达信号传输方式，两者在速率和QOS 保障方面都存在一定的缺陷，因此也在逐渐退出雷达信号传输的舞台。相对应的ATM 和SDH 等技术凭借其交换和复用功能的全面性以及传输质量的稳定性，逐渐得到推广和应用[2]。

因民航空管的特殊性，在民航空管中构建了专用的ATM 专网，满足民航通信业务的需求。这不仅为越来越多的民航提供需要的文字和数据信息支持，而且能够为民航空中交通管制提供语音甚至实时视频信息支持。就实际雷达信号传输现状来看，SDH 技术在快速增长的空中交通管制通信业务中脱颖而出，在目前的空管业务传输中应用最为广泛。虽然SDH 是物理层，但是在实际的应用过程中其对网络层开放，也就决定其不仅能够借助综合复用设备的基础实现多业务的复用，而且还能够依赖于IP 设备来实现多业务分组交换。

2 雷达数据引接技术的探究

2.1 双通道引接技术

目前，在雷达数据引接技术应用中，为保障空管系统的信号源的可用性，雷达数据通常采用卫星传输和DDN 链路传输两个通道进行传输。所以要实现空管自动化系统雷达数据引接，在科学接入双通道数据的基础上，还要进行进一步的处理。最常用的方式是雷达数据质量比选功能，借助该功能能够筛选出数据质量较好的一路数据，将其传输给处理机，进行下一步的处理，这也就是最常见的双通道引接技术（见图1）。

图1 双通道引接技术示意图

在双通道引接中，需要冗余主机配置来实现数据的前置处理，借助两台前置机实现对每一路数据的处理。通过数据监视和冗余设计，进一步实现数据的对比和优选工作，将得到的数据传输给监视数据处理器，进行融合处理，保证自动化系统的数据需求[3]。

2.2 冗余双通道引接技术

结合空管自动化管理的实际需求，空管现场管理和空管业务对雷达信号引接提出了更高的要求。随之出现通过4 个线路传输的雷达信号传输方式，这就需要相应的雷达信号引接技术，出现冗余双通道引接技术（见图2）。要进行一部雷达的信号传输，需要将两个通道分别接入两台前置处理机，形成4 条通道，两个前置机分别对两个通道的信号进行优化，获得初步的优选信号，然后传输给下一级雷达处理机进行二次优化，再进行最后的融合处理。

图2 冗余双通道引接技术图

相比较于双通道引接技术，冗余双通道引接技术具有跟高的可靠性。假设其中一条通道发生故障，抑或者某一前置处理机发生故障的情况，系统仍然能够获取到需要的雷达数据，极大程度地提高了系统的可靠性。

2.3 网络子网引接技术

空管自动化发展进程中，在一些大型区管系统中需要大量接入雷达数据，如果依然采用双通道引接技术或者冗余双通道引接技术进行数据引接，就需要大量的引接设备支持，线缆等相关硬件设备也将大量增加，使得系统的复杂程度提高，构建成本大大增加。所以，根据大型区管系统实际需求，可以采用网络化引接方式，使其既能够保证一定的雷达数量，又能够保证系统可靠性的同时一定程度上降低系统的复杂程度。网络子网引接技术在采用网络子网技术的基础上，能够实现实现雷达数据的接入和质量分析，并接入系统工作网作进一步的融合处理（见图3）。网络子网引接技术在保证引接雷达数量的同时，也进一步增加了系统的可靠性，有效降低了投资成本，也为后期技术人员的检修和维护提供了便利[4]。

图3 网络子网引接技术图

3 雷达信号引接防火墙的构建

雷达信号引接技术在应用过程中，首先要注重防火墙的构建，常用的如包过滤的路由器、应用层网关等方式。

3.1 包过滤的路由器

包过滤的路由器在应用中，首先将接收到的数据包进行分析和初步判断，确定是否符合接收的标准。数据接收是参照包过滤原则进行的，只有符合包过滤规则的数据才会被该路由器接收，如果不符合规则将被拒绝。

过滤规则是根据服务进行制定的，尤其是对特定的服务进行包过滤。由于大多数的服务监听都需要借助指定的TCP/UDP来实现，所以往往会导致堵塞。由此，包过滤路由器在这个过程中就能够发挥作用，能够有效监测并弃掉包含特定TCP/UDP 的目标端口的包。

包过滤路由器过滤的信息主要是将与服务不相关的包过滤掉，其次就是要过滤与服务本身没有关系的攻击。但是，此类攻击由于接收到的仅仅是信息的包头，所以是难以进行识别，需要在原有的过滤预原上添加必要的附加条件。需保证在接收的信息通过路由表、IP 以及偏移量等相关信息的对比和检查，实现数据的安全传输[5]。

3.2 应用层的网关

应用层的网关在应用中比较可靠，其允许内部的网管对包过滤进行比较。但是，用户不能直接登录到网关上，需要借助一定的应用服务来实现。

因此，要想保证应用层网关的性能和安全性，还需要进行硬件的更新和升级，进一步提高相关的服务水平，实现网络安全配置的平衡管理。

3.3 防火墙构建基本准则

要科学构建防火墙，在关注防火墙配置的基本准则的同时，还需要关注网络的安全策略。

所以，防火墙在构建过程中，要拒绝未授权和许可的内容。将经过防火墙的所有信息、服务以及应用等都进行详细审查，保证接收内容的安全性。此外，在防火墙的构建中对注意审查出来的且被拒绝的信息能够有效消除潜在危害。

3.4 防火墙构建安全策略

任何一个单位或者企业要做好安全防护，都需要构建科学合理的防火墙。所以，在防火墙的构建中首先要确定需要保护的范围，确定合理的网络安全策略，保证其能够为安全分析和风险管控提供必要的支持。

4 雷达信号引接网络安全设计

4.1 网络结构图

图4 为信号引接网络结构图。

4.2 数据交互区硬件组成

数据交互区是内外网络的过渡区域，承载着引接平台的数据交互工作，并且还要为本地的网络用户提供必要的服务支持。数据交互区不仅要有效隔离系统内部和外部，而且同时要保证网络的安全。

在雷达信号引接中需要两台DMZ 来完成向上和向下的数据引接，分别与数据引接平台和系统核心网络连接。然后通过旁路连接的方式，分别连接CDM 系统和EFS 系统。外部数据在进入交互服务处理器经过分析处理之后，在进入需要进入的系统。本地的WEB用户在接入交换机之后，则需要进行隔离才能够接入DMZ 网络，并且只有访问数据交互服务器的权限[6]。

4.3 网络安全设计

要保证网络安全，首先在物理连接方面，雷达信号引接过程中所有接入的外部信息都需要经过“信息引接防火墙”，保证系统和外界系统能够完全隔离。同时，信息源在防火墙上不能互通，这在很大程度上避免了不同数据源通过三层方式进行相互访问，保证了网络安全。

各信息源通过交换机上配置的不同VLAN，以二层方式引接到防火墙上，但是不同信息源却也被VLAN隔离，通过数据转发服务进行转发和接收。该过程中转发服务器和数据交互服务器之间的通过独立的VLAN互联，实现外部信息源的数据分发，保证系统的多重保护。外部系统要和CDM/EFS 进行交互，可以以二层方式接入对应的转发服务器，通过通信程序进行数据交互和处理。同时，防火墙严格限制IP 端口的开放，防火墙的数据引接和交互必须经过特定的端口。